US Cloud Act: Was ist das – und ist er überhaupt DSGVO-konform?
Dieser Beitrag wurde im Mai 2019 erstmals veröffentlicht und im November 2023 überarbeitet.
Wie Länder mit dem behördlichen Zugriff auf Cloud-Daten umgehen, ist ganz unterschiedlich. In den USA beispielsweise sind Cloud-Provider nach dem Patriot Act dazu verpflichtet, Daten auf Anweisung von Gerichten oder Behörden herauszugeben. Der US Cloud Act geht noch einen Schritt weiter: Er ermöglicht US-Behörden den Zugriff auf Cloud-Server, die von US-Providern außerhalb der USA betrieben werden.
In Europa hingegen ist die Weitergabe von Daten unter anderem durch die EU-DSGVO (Art. 48) geregelt. Unternehmen, die auf europäische Cloud-Anbieter mit Server-Standorten in der EU setzen, wähnen sich und ihre Daten sowie die Daten ihrer Kunden deshalb in Sicherheit.
Doch wie verhält es sich, wenn ein US-Konzern Server in Europa betreibt oder einen deutschen Cloud-Anbieter übernimmt? Gilt dann noch die DSGVO oder greift hier der Cloud Act? Und wie können sich Unternehmen angesichts dieser Unklarheiten rechtlich absichern?
US Cloud Act – was ist das überhaupt?
Ende März 2018 hat der ehemalige US-Präsident Donald Trump den US Cloud Act („Clarifying Lawful Overseas Use of Data Act„) unterzeichnet. Die Verordnung ist Teil des Haushaltsgesetzes und erlaubt US-Behörden den Zugriff auf im Ausland gespeicherte Daten – vorausgesetzt, die betroffenen Server sind unter der Kontrolle von US-Unternehmen oder deren Tochtergesellschaften. US-Gerichte können (müssen aber nicht!) den Zugriffsprozess unterbinden – etwa, wenn Nicht-US-Bürger betroffen sind.
US-Konzerne, die Server außerhalb der USA betreiben und eine Herausgabe von Daten zuvor unter Berufung auf den Serverstandort verweigern konnten, wären damit eindeutig zur Herausgabe verpflichtet. Dasselbe gilt für einen deutschen Cloud-Anbieter, wenn er von einem US-Konzern übernommen wird, weil letzterer seinen Sitz in den USA hat.
US Cloud Act vs DSGVO: Rechtliches Dilemma für Unternehmen
Datenschutz-Experten sehen hier einen klaren Konflikt mit der Datenschutzgrundverordnung, die Unternehmen die Übergabe von innerhalb der EU gesicherten Daten ohne Rechtshilfeabkommen verbietet (vgl. Artikel 48 DSGVO). Ein Verstoß gegen die in Artikel 48 aufgeführten Pflichten kann nach Art. 83 DSGVO mit Bußgeldern in Höhe von bis zu 20 Millionen Euro bzw. vier Prozent des weltweiten Jahresumsatzes geahndet werden.
Diese Unvereinbarkeit von US Cloud Act und EU-Datenschutz-Grundverordnung (DSGVO) bringt Unternehmen, die Cloud-Dienste nutzen, in ein Dilemma. Während die DSGVO strenge Vorschriften zum Schutz personenbezogener Daten innerhalb der EU vorschreibt, ermöglicht der Cloud Act den US-Behörden den Zugriff auf in der EU gespeicherte Daten, wenn der Anbieter oder der Mutterkonzern des Anbieters seinen Sitz in den USA hat. Dies führt verständlicherweise zu Unsicherheiten – zumal das Thema auch Jahre später nicht abschließend geklärt ist und nach wie vor Fragen offen bleiben.
Standort & Technologie: So sichern sich Unternehmen ab
Trotz dieser Herausforderung gibt es Möglichkeiten für Unternehmen, sich bei der Nutzung von Cloud-Angeboten wie Collaboration-Diensten und virtuellen Datenräumen rechtlich abzusichern. Ein effektiver Ansatz besteht darin, Dienste von Anbietern zu nutzen, die ihren Sitz in Deutschland haben und idealerweise auch ihre Server hier betreiben. Deutschland gilt als eines der Länder mit den striktesten Datenschutzgesetzen weltweit.
Durch die Wahl eines in Deutschland ansässigen Cloud-Dienstleisters können Unternehmen sicherstellen, dass ihre Daten nicht nur durch die DSGVO geschützt sind, sondern auch von den umfassenden Sicherheitsvorgaben der deutschen Datenschutzgesetze profitieren. Diese Entscheidung bietet somit eine zusätzliche Sicherheitsebene gegen den Zugriff durch den Cloud Act und andere externe Einflüsse, die potenziell die Sicherheit sensibler Unternehmensinformationen gefährden könnten. Dies gilt allerdings nur so lange, bis der Dienstleister von einem US-Unternehmen gekauft wird.
Darüber hinaus bieten sichere Technologie-Ansätze wie Confidential Computing einen zuverlässigen Schutz für sensible Daten, und zwar unabhängig vom Sitz des Anbieters. Unternehmen, die entsprechende Cloud-Angebote (wie beispielsweise idgard) für die digitale Zusammenarbeit nutzen, profitieren von einer sicheren Datenverarbeitungsumgebung. Hierbei werden die Daten in separaten, hochsicheren Hardwaresegmenten verarbeitet, die vom Rest des Systems isoliert und vor externen Zugriffen geschützt sind. Dieser Ansatz gewährleistet, dass die Daten während der Verarbeitung in einer geschützten Umgebung bleiben, in der ein Zugriff technisch ausgeschlossen ist. Die Übertragung und Speicherung der Daten wiederum erfolgt ausschließlich verschlüsselt, so dass selbst bei einem etwaigen Zugriff auf die Infrastruktur (etwa durch staatliche Akteure oder Cyberkriminelle) die Daten zu keinem Zeitpunkt unverschlüsselt einsehbar sind.
Bei der Suche nach einem passenden Cloud-Dienst könnten aussagekräftige Zertifikate helfen, beispielsweise nach dem Trusted Cloud Datenschutz-Profil für Cloud-Dienste (TCDP).
Mehr zur Datenschutzzertifizierung von Cloud-Diensten erfahren Sie in unserem kostenlosen Whitepaper.